Невозможно использовать шифрование диска с помощью битлокатора, поскольку это важные системные файлы
Обновлено: 21.11.2024
Осенью 2017 года ИТ-служба Университета Майами внедрила полное шифрование диска (FDE). Почти все, кто работает в Майами, хранят на своих компьютерах некоторую конфиденциальную информацию, определенную в MUPIM 3.22. Устанавливая FDE, мы гарантируем, что ни к одной из этих конфиденциальных данных не будет доступа, если ноутбук сотрудника, выданный в Майами, будет утерян или украден.
Вот несколько часто задаваемых вопросов об этом новом требовании и о том, как оно повлияет на пользователей.
У меня есть персональный компьютер. Как это развертывание шифрования повлияет на мой персональный компьютер?
Этот проект предназначен только для ноутбуков, принадлежащих Майами. Это не повлияет на ваш персональный компьютер. Используемые нами программы шифрования, BitLocker (Windows) и FileVault (Mac), встроены в соответствующие операционные системы. Если вы хотите установить их на свой персональный компьютер, вы можете сделать это, следуя руководствам, доступным в Интернете. Имейте в виду, что Майами не сможет помочь вам восстановить данные, если вы столкнетесь с проблемой, так как ваш персональный компьютер не будет связан с централизованными программами, которые мы используем для управления зашифрованными ноутбуками Майами.
Связано: будет ли способ получить это шифрование на персональных компьютерах, которые используются в университетских целях, например, на тех, которые используются подрядчиками и преподавателями, работающими неполный рабочий день?
Если компьютер принадлежит Майами, он будет зашифрован независимо от пользователя. Если компьютер находится в личной собственности подрядчика или преподавателя, работающего неполный рабочий день, он не будет зашифрован в рамках этого проекта.
Как это повлияет на файлы, которые я перемещаю с моего зашифрованного компьютера в другое место (Google Диск, USB-накопитель и т. д.)?
Мы используем так называемое полное шифрование диска (FDE). Он работает путем шифрования всех данных на выбранном жестком диске. Если украдут ноутбук с зашифрованным жестким диском, все файлы в безопасности. Если вы скопируете файл в другое место, он больше не будет храниться на зашифрованном жестком диске, поэтому он будет храниться в незашифрованном виде, если только в целевом месте также не работает полное шифрование диска. Безопасность ваших файлов зависит от того, на каком диске они хранятся.
А как насчет USB-накопителей?
Мы не требуем шифрования USB-накопителей, подключенных к ноутбукам в Майами. Цель этой программы — устранить риск доступа к конфиденциальным данным с украденного ноутбука. Однако, если вы храните конфиденциальные данные на своих USB-накопителях, мы рекомендуем вам либо удалить конфиденциальные данные с вашего USB-накопителя и вместо этого сохранить их на Google Диске или сетевом диске, либо зашифровать свой USB-накопитель. Если вам нужна помощь в шифровании USB-накопителя, обратитесь в службу поддержки ИТ-услуг по телефону 513 529-7900. Имейте в виду, что если вы потеряете пароль и ключ восстановления, связанные с вашим USB-накопителем, вы не сможете восстановить свои данные.
А как насчет Parallels?
Parallels — это программное обеспечение для виртуализации, используемое многими пользователями Mac для запуска системы Windows, чтобы иметь доступ к программам только для Windows. Как только ваш Mac будет зашифрован, файлы, составляющие вашу систему Windows внутри Parallels, также будут зашифрованы. Вам не нужно предпринимать никаких дополнительных действий для шифрования вашей системы Windows внутри Parallels.
А как насчет ноутбуков с Linux?
IT Services не обеспечивает поддержку ноутбуков с ОС Linux. Таким образом, мы не предоставляем пакет централизованного шифрования для ноутбуков с Linux. Мы работаем с пользователями в нашем сообществе, которые используют Linux на своих ноутбуках, чтобы определить подходящий пакет шифрования, который им следует использовать, и механизм для хранения связанного ключа шифрования, чтобы его можно было восстановить, если пользователь его забудет. В настоящее время мы оцениваем LUKS. Если у вас есть другая альтернатива, которую вы хотели бы, чтобы мы рассмотрели, или если вы хотите узнать, какой пакет шифрования рекомендуется для настольных компьютеров Linux, напишите по адресу bazeleje@MiamiOH.edu.
Что, если я нахожусь за пределами кампуса?
При подключении к виртуальной частной сети (VPN) в Майами ваш ноутбук в Майами должен зарегистрироваться на наших серверах централизованного управления. Эти серверы должны указать вашему ноутбуку начать процесс шифрования. Если этого не произойдет, при следующем подключении ноутбука к сети Майами должен начаться процесс шифрования.
Зачем мы это делаем? Какую пользу это принесет Майами?
Это программное обеспечение для шифрования защитит конфиденциальную информацию, когда она находится в состоянии покоя. Без шифрования на вашем жестком диске вор, укравший ваш ноутбук, сможет получить доступ ко всем данным на вашем ноутбуке, независимо от того, знает ли он ваш пароль. Они могут просто извлечь жесткий диск, подключить его к другому компьютеру, которым они управляют, а затем получить доступ ко всем данным на вашем жестком диске.Добавляя шифрование для защиты ваших «неактивных данных», когда вор попытается получить доступ к данным на вашем жестком диске, он увидит только зашифрованные данные, в то время как все авторизованные пользователи ноутбука смогут получить к ним обычный доступ.
У меня есть Mac и я установил Windows Boot Camp — как это будет работать для меня?
Мы настоятельно рекомендуем вам использовать Parallels вместо Boot Camp, если вам нужен доступ к Windows с вашего Mac. Раздел вашего жесткого диска для Mac будет автоматически зашифрован, но раздел Boot Camp зашифровать нельзя. По этой причине не следует хранить конфиденциальные данные в разделе Boot Camp. Если вместо этого вы сможете перейти на использование Parallels, весь ваш жесткий диск Mac будет зашифрован, включая файлы, из которых состоит ваша система Windows внутри Parallels.
Что делать, если я уже зашифровал?
Нужно ли мне что-то делать физически самому, или он установится автоматически?
Когда ваш ноутбук в Майами подключен к сети Майами, он автоматически связывается с централизованными серверами, которые управляют вашим ноутбуком. Это даст указание вашему ноутбуку начать процесс шифрования. Вам ничего не нужно делать самостоятельно.
У меня рабочий стол в Майами. Что это значит для меня?
В этой части проекта с вашим рабочим столом ничего не произойдет. Ноутбуки чаще украдут, чем настольные компьютеры, поэтому мы в первую очередь нацелены на этот более высокий риск. Мы стремимся учесть все уроки, извлеченные из развертывания шифрования ноутбуков, в будущем развертывании шифрования настольных компьютеров. Как только мы определим даты развертывания шифрования для настольных компьютеров, мы сообщим их преподавателям и сотрудникам.
ИТ-услуги в Майами
Центральная организация по оказанию технологических услуг Майами поддерживает преподавателей, сотрудников и студентов, предоставляя инновационные, надежные и безопасные технологические услуги для всех аспектов университета, включая преподавание, обучение, исследования, студенческую жизнь и управление.
200 Hoyt Hall
521 S. Patterson Ave.
Oxford, OH 45056
Административный офис: 513-529-5322
По вопросам поддержки: 513-529-7900
Персональный компьютер нуждается в ремонте
Эта статья поможет вам устранить проблемы, которые могут возникнуть при использовании политики Microsoft Intune для управления автоматическим шифрованием BitLocker на устройствах. Портал Intune указывает, не удалось ли BitLocker зашифровать одно или несколько управляемых устройств.
Чтобы сузить круг причин проблемы, просмотрите журналы событий, как описано в разделе Устранение неполадок BitLocker. Сосредоточьтесь на журналах управления и операций в папке Applications and Services logs\Microsoft\Windows\BitLocker-API. В следующих разделах содержится дополнительная информация о том, как разрешить указанные события и сообщения об ошибках:
Если у вас нет четкого списка событий или сообщений об ошибках, которые следует изучить, можно исследовать следующие области:
Сведения о том, как убедиться, что политики Intune правильно применяют BitLocker, см. в разделе Проверка правильности работы BitLocker.
Идентификатор события 853: Ошибка: на этом компьютере не найдено совместимое устройство безопасности Trusted Platform Module (TPM)
Событие с идентификатором 853 может содержать разные сообщения об ошибках в зависимости от контекста. В этом случае сообщение об ошибке с кодом события 853 указывает на то, что устройство не имеет доверенного платформенного модуля. Информация о событии выглядит следующим образом:
Причина
Устройство, которое вы пытаетесь защитить, может не иметь чипа TPM, или BIOS устройства может быть настроен на отключение TPM.
Разрешение
Чтобы решить эту проблему, проверьте следующее:
- TPM включен в BIOS устройства.
- Состояние TPM в консоли управления TPM выглядит следующим образом:
- Готово (TPM 2.0)
- Инициализировано (TPM 1.2)
Дополнительную информацию см. в разделе Устранение неполадок TPM.
Идентификатор события 853: Ошибка: BitLocker Drive Encryption обнаружил загрузочный носитель (CD или DVD) на компьютере
В этом случае вы видите событие с идентификатором 853, а сообщение об ошибке в событии указывает на то, что загрузочный носитель доступен для устройства. Информация о событии выглядит следующим образом.
Причина
Во время подготовки BitLocker Drive Encryption записывает конфигурацию устройства, чтобы установить базовый уровень. Если впоследствии конфигурация устройства изменится (например, если вы извлечете носитель), автоматически запустится режим восстановления BitLocker.
Чтобы избежать этой ситуации, процесс подготовки останавливается, если обнаруживает съемный загрузочный носитель.
Разрешение
Извлеките загрузочный носитель и перезагрузите устройство. После перезагрузки устройства проверьте состояние шифрования.
Идентификатор события 854: WinRE не настроен
Информация о событии выглядит следующим образом:
Не удалось включить тихое шифрование. WinRe не настроен.
Ошибка: этот компьютер не может поддерживать шифрование устройства, так как WinRE настроен неправильно.
Причина
Среда восстановления Windows (WinRE) — это минимальная операционная система Windows, основанная на среде предустановки Windows (Windows PE). WinRE включает в себя несколько инструментов, которые администратор может использовать для восстановления или сброса Windows и диагностики проблем с Windows. Если устройство не может запустить обычную операционную систему Windows, оно пытается запустить WinRE.
Процесс подготовки включает шифрование диска BitLocker на диске операционной системы на этапе подготовки Windows PE. Это действие обеспечивает защиту диска до полной установки операционной системы. В процессе подготовки также создается системный раздел, который WinRE может использовать в случае сбоя системы.
Если WinRE недоступна на устройстве, подготовка останавливается.
Разрешение
Вы можете решить эту проблему, проверив конфигурацию разделов диска, состояние WinRE и конфигурацию загрузчика Windows. Для этого выполните следующие действия.
Шаг 1. Проверьте конфигурацию разделов диска
Процедуры, описанные в этом разделе, зависят от разделов диска по умолчанию, которые Windows настраивает во время установки. Windows 11 и Windows 10 автоматически создают раздел восстановления, содержащий файл Winre.wim. Конфигурация раздела выглядит следующим образом.
Чтобы проверить конфигурацию разделов диска, откройте окно командной строки с повышенными привилегиями и выполните следующие команды:
Если статус любого из томов неисправен или раздел восстановления отсутствует, возможно, вам придется переустановить Windows. Прежде чем сделать это, проверьте конфигурацию образа Windows, который вы используете для подготовки. Убедитесь, что образ использует правильную конфигурацию диска. Конфигурация образа должна выглядеть следующим образом (этот пример взят из Microsoft Endpoint Configuration Manager).
Шаг 2. Проверьте состояние WinRE
Чтобы проверить состояние WinRE на устройстве, откройте окно командной строки с повышенными привилегиями и выполните следующую команду:
Вывод этой команды выглядит следующим образом.
Если статус Windows RE не включен, выполните следующую команду, чтобы включить его:
Шаг 3. Проверьте конфигурацию загрузчика Windows
Если состояние раздела исправно, но команда reactc /enable приводит к ошибке, убедитесь, что загрузчик Windows содержит GUID последовательности восстановления. Для этого выполните следующую команду в окне командной строки с повышенными привилегиями:
Вывод этой команды выглядит следующим образом.
В выходных данных найдите раздел «Загрузчик Windows», который содержит идентификатор строки = . В этом разделе найдите атрибут recoverysequence. Значение этого атрибута должно быть значением GUID, а не строкой нулей.
Идентификатор события 851: обратитесь к производителю за инструкциями по обновлению BIOS
Информация о событии выглядит следующим образом:
Не удалось включить тихое шифрование.
Ошибка: шифрование диска BitLocker не может быть включено на диске операционной системы. Обратитесь к производителю компьютера за инструкциями по обновлению BIOS.
Причина
Устройство должно иметь унифицированный расширяемый интерфейс встроенного ПО (UEFI) BIOS. Шифрование диска Silent BitLocker не поддерживает устаревшую версию BIOS.
Разрешение
Чтобы проверить режим BIOS, используйте приложение "Информация о системе". Для этого выполните следующие действия:
Выберите «Пуск» и введите msinfo32 в поле поиска.
Убедитесь, что для параметра BIOS Mode установлено значение UEFI, а не Legacy.
Если для параметра «Режим BIOS» установлено значение «Устаревший», вам необходимо переключить BIOS в режим UEFI или EFI. Действия для этого зависят от устройства.
Если устройство поддерживает только устаревший режим, вы не можете использовать Intune для управления шифрованием устройства BitLocker на устройстве.
Сообщение об ошибке: не удалось прочитать переменную UEFI «SecureBoot»
Появляется сообщение об ошибке следующего вида:
Ошибка: BitLocker не может использовать безопасную загрузку для обеспечения целостности, поскольку не удалось прочитать переменную UEFI «SecureBoot». Требуемая привилегия не принадлежит клиенту.
Причина
Регистр конфигурации платформы (PCR) — это ячейка памяти в TPM. В частности, PCR 7 измеряет состояние безопасной загрузки. Для автоматического шифрования диска BitLocker необходимо, чтобы безопасная загрузка была включена.
Разрешение
Эту проблему можно решить, проверив профиль проверки PCR доверенного платформенного модуля и состояние безопасной загрузки. Для этого выполните следующие действия:
Шаг 1. Проверка профиля проверки PCR модуля TPM
Чтобы убедиться, что PCR 7 используется, откройте окно командной строки с повышенными привилегиями и выполните следующую команду:
В разделе TPM выходных данных этой команды убедитесь, что параметр профиля проверки PCR включает 7, как показано ниже.
Если профиль проверки PCR не включает 7 (например, значения включают 0, 2, 4 и 11, но не 7), то безопасная загрузка не включена.
2. Проверьте состояние безопасной загрузки
Чтобы проверить состояние безопасной загрузки, используйте приложение "Информация о системе". Для этого выполните следующие действия:
Выберите «Пуск» и введите msinfo32 в поле поиска.
Убедитесь, что для параметра Состояние безопасной загрузки установлено значение Вкл., как показано ниже:
Если параметр состояния безопасной загрузки не поддерживается, вы не можете использовать автоматическое шифрование BitLocker на этом устройстве.
Вы также можете использовать командлет Confirm-SecureBootUEFI для проверки состояния безопасной загрузки. Для этого откройте окно PowerShell с повышенными привилегиями и выполните следующую команду:
Если компьютер поддерживает безопасную загрузку и включена безопасная загрузка, этот командлет возвращает значение "True".
Если компьютер поддерживает безопасную загрузку, а безопасная загрузка отключена, этот командлет возвращает значение "False".
Если компьютер не поддерживает безопасную загрузку или является компьютером с BIOS (не UEFI), этот командлет возвращает «Командлет не поддерживается на этой платформе».
Идентификатор события 846, 778 и 851: ошибка 0x80072f9a
В этом случае вы развертываете политику Intune для шифрования устройства Windows 11, Windows 10 версии 1809 и хранения пароля восстановления в Azure Active Directory (Azure AD). В рамках настройки политики вы выбрали параметр Разрешить обычным пользователям включать шифрование во время присоединения к Azure AD.
Развертывание политики завершается с ошибкой и генерирует следующие события (отображаемые в средстве просмотра событий в папке Applications and Services Logs\Microsoft\Windows\BitLocker API):
Идентификатор события: 846
Событие: не удалось выполнить резервное копирование данных восстановления BitLocker Drive Encryption для тома C: в Azure AD.
TraceId: Error: Unknown HResult Error код: 0x80072f9a
Идентификатор события: 778
Событие: том BitLocker C: был возвращен в незащищенное состояние.
Идентификатор события: 851
Событие: не удалось включить автоматическое шифрование.
Ошибка: неизвестный код ошибки HResult: 0x80072f9a.
Эти события относятся к коду ошибки 0x80072f9a.
Причина
Эти события указывают на то, что у вошедшего пользователя нет разрешения на чтение закрытого ключа в сертификате, созданном в процессе подготовки и регистрации. Поэтому обновление политики BitLocker MDM завершается ошибкой.
Эта проблема затрагивает Windows 11 и Windows 10 версии 1809.
Разрешение
Чтобы решить эту проблему, установите обновление от 21 мая 2019 г.
Сообщение об ошибке: существуют конфликтующие настройки групповой политики для параметров восстановления на дисках операционной системы
Вы получаете сообщение, похожее на следующее:
Ошибка. Шифрование диска BitLocker нельзя применить к этому диску, поскольку существуют конфликтующие параметры групповой политики для параметров восстановления на дисках операционной системы. Сохранение информации для восстановления в доменных службах Active Directory не требуется, если создание паролей восстановления не разрешено. Попросите вашего системного администратора разрешить эти конфликты политик, прежде чем пытаться включить BitLocker…
Разрешение
Чтобы решить эту проблему, проверьте параметры объекта групповой политики (GPO) на наличие конфликтов. Дополнительные рекомендации см. в следующем разделе "Просмотр конфигурации политики BitLocker".
Дополнительные сведения о объектах групповой политики и BitLocker см. в справочнике по групповой политике BitLocker.
Проверьте конфигурацию политики BitLocker
Сведения о том, как использовать политику вместе с BitLocker и Intune, см. в следующих ресурсах:
Intune предлагает следующие типы принудительного применения BitLocker:
- Автоматически (применяется, когда устройство присоединяется к Azure AD в процессе подготовки. Этот параметр доступен в Windows 10 версии 1703 и более поздних или Windows 11.)
- Тихая (политика защиты конечной точки. Этот параметр доступен в Windows 10 версии 1803 и более поздних или Windows 11.)
- Интерактивный (политика конечной точки для версий Windows старше Windows 10 версии 1803 или Windows 11.)
Если ваше устройство работает под управлением Windows 10 версии 1703 или более поздней или Windows 11, поддерживает Modern Standby (также известное как Instant Go) и совместимо с HSTI, присоединение устройства к Azure AD запускает автоматическое шифрование устройства. Для принудительного шифрования устройства не требуется отдельная политика защиты конечных точек.
Если ваше устройство совместимо с HSTI, но не поддерживает современный режим ожидания, вам необходимо настроить политику защиты конечной точки, чтобы обеспечить принудительное шифрование диска BitLocker без вывода сообщений. Параметры этой политики должны выглядеть следующим образом:
Ссылки OMA-URI для этих настроек следующие:
OMA-URI: ./Device/Vendor/MSFT/BitLocker/RequireDeviceEncryption
Тип значения: целое
Значение: 1 (1 = требуется, 0 = не настроено)OMA-URI: ./Device/Vendor/MSFT/BitLocker/AllowWarningForOtherDiskEncryption
Тип значения: целое
Значение: 0 (0 = заблокировано, 1 = разрешено)Из-за обновления CSP политики BitLocker, если на устройстве используется Windows 10 версии 1809 или более поздней или Windows 11, вы можете использовать политику защиты конечной точки для принудительного автоматического шифрования устройства BitLocker, даже если устройство не совместимо с HSTI. .
Если для параметра Предупреждение о другом шифровании диска установлено значение Не настроено, необходимо вручную запустить мастер шифрования диска BitLocker.
Если устройство не поддерживает Modern Standby, но совместимо с HSTI и использует более раннюю версию Windows, чем Windows 10, версию 1803 или Windows 11, политика защиты конечных точек с параметрами, описанными в эта статья доставляет конфигурацию политики на устройство. Однако затем Windows уведомляет пользователя о необходимости вручную включить шифрование диска BitLocker. Для этого пользователь выбирает уведомление. Это действие запускает мастер шифрования диска BitLocker.
Выпуск Intune 1901 содержит параметры, которые можно использовать для настройки автоматического шифрования устройств для устройств Autopilot для обычных пользователей. Каждое устройство должно соответствовать следующим требованиям:
- Соответствие стандарту HSTI
- Поддержка современного режима ожидания
- Используйте Windows 10 версии 1803 или более поздней или Windows 11.
Ссылки OMA-URI для этих настроек следующие:
- OMA-URI: ./Device/Vendor/MSFT/BitLocker/AllowStandardUserEncryption
Тип значения: целое число Значение: 1
Этот узел работает вместе с узлами RequireDeviceEncryption и AllowWarningForOtherDiskEncryption. По этой причине, если для параметра RequireDeviceEncryption задано значение 1, для параметра AllowStandardUserEncryption — значение 1, а для параметра AllowWarningForOtherDiskEncryption — значение 0, Intune может применять автоматическое шифрование BitLocker для устройств Autopilot со стандартными профилями пользователей.
Проверка правильности работы BitLocker
Во время обычных операций BitLocker Drive Encryption создает такие события, как Event ID 796 и Event ID 845.
Вы также можете определить, загружен ли пароль восстановления BitLocker в Azure AD, проверив сведения об устройстве в разделе "Устройства Azure AD".
На устройстве откройте редактор реестра, чтобы проверить параметры политики на устройстве. Проверьте записи в следующих подразделах:
Для защиты данных на вашем ноутбуке рекомендуется зашифровать информацию, чтобы защитить ее от несанкционированного доступа. Чтобы определить, включено ли шифрование вашего диска, выполните следующие действия.
Ноутбуки с Windows
Шифрование устройства доступно во всех выпусках Windows 10, но шифрование BitLocker доступно только в версиях Windows 10 Pro, Enterprise или Education. Windows 10 Домашняя не поддерживает BitLocker, но вы все равно можете использовать шифрование устройства, если ваше устройство (ноутбук) соответствует требованиям к оборудованию.
Проверьте версию вашей операционной системы Windows
Нажмите на меню "Пуск" в левом нижнем углу экрана:
В поле "Введите здесь для поиска" введите "информация о системе" и нажмите на вкладку "Информация о системе", чтобы отобразить версию Windows, используемую на вашем устройстве:
Проверьте, зашифровано ли ваше устройство (версия Windows 10 Домашняя)
Нажмите на меню "Пуск" в левом нижнем углу экрана:
Нажмите на значок шестеренки настроек:
Нажмите «Обновление и безопасность»:
В левом столбце нажмите Шифрование устройства:
Если вы видите сообщение Шифрование устройства включено с параметром Выключить, ваш жесткий диск зашифрован:
Если шифрование НЕ включено, нажмите Включить, чтобы зашифровать устройство, и следуйте инструкциям.
Проверьте, зашифровано ли ваше устройство (Windows 10 Pro/Enterprise/Education edition)
В проводнике Windows в левом столбце щелкните Этот компьютер, и справа вы увидите значок замка на зашифрованных дисках.
Выделите и щелкните правой кнопкой мыши диск, на котором вы хотите проверить «Параметры BitLocker». Если вы видите сообщение Шифрование включено, ваш жесткий диск зашифрован:
Если на вашем диске нет значка замка, он НЕ зашифрован. Щелкните диск правой кнопкой мыши, выберите «Включить BitLocker» и следуйте инструкциям на экране.
ноутбуки с macOS
FileVault 2 доступен в macOS Lion или более поздней версии.
Проверьте версию вашей операционной системы macOS
Нажмите значок Apple в левом верхнем углу экрана:
Нажмите «Об этом Mac», чтобы отобразить информацию о версии macOS:
Проверьте, зашифрован ли ваш диск macOS
Нажмите «Системные настройки», а затем значок «Безопасность и конфиденциальность»:
Если вы видите сообщение FileVault включено для диска "Macintosh HD" с возможностью отключить FileVault, это означает, что ваш диск ЗАШИФРОВАН:
Если вы видите сообщение "Filevault выключен", это означает, что ваш диск НЕ зашифрован. Нажмите «Включить FileVault», чтобы зашифровать диск, и следуйте инструкциям на экране.
Шифрование диска Windows BitLocker — это функция защиты данных, доступная в Windows Enterprise. BitLocker обеспечивает улучшенную защиту от кражи или раскрытия данных на потерянных или украденных компьютерах, а также более безопасное удаление данных при выводе из эксплуатации компьютеров, защищенных с помощью BitLocker.
Данные на утерянном или украденном компьютере уязвимы для несанкционированного доступа либо путем запуска против них программных средств атаки, либо путем переноса жесткого диска компьютера на другой компьютер. BitLocker помогает предотвратить несанкционированный доступ к данным на потерянных или украденных компьютерах за счет сочетания двух основных процедур защиты данных:
- Шифрование всего тома операционной системы Windows на жестком диске. BitLocker шифрует все пользовательские и системные файлы в томе операционной системы, включая файлы подкачки и гибернации.
- Проверка целостности компонентов ранней загрузки и данных конфигурации загрузки. BitLocker использует расширенные возможности безопасности доверенного платформенного модуля, чтобы обеспечить доступ к вашим данным только в том случае, если загрузочные компоненты компьютера не изменились, а зашифрованный диск находится на исходном компьютере.
Влияет ли производительность при включении BitLocker?
Bitlocker должен использовать незначительную вычислительную мощность, которую не следует замечать.
Сколько примерно времени займет начальное шифрование при включенном BitLocker?
Шифрование BitLocker происходит в фоновом режиме, пока вы продолжаете работать, и система остается пригодной для использования, но время шифрования зависит от типа шифруемого диска, его размера и скорости. Если вы шифруете очень большие диски, вы можете настроить шифрование на то время, когда вы не будете использовать диск.
Что произойдет, если компьютер будет выключен во время шифрования или дешифрования?
Если компьютер выключается или переходит в спящий режим, процесс шифрования и дешифрования BitLocker возобновится с того места, где он был остановлен, при следующем запуске Windows. Это справедливо даже при внезапном отключении питания.
После того как мой компьютер будет полностью зашифрован, замечу ли я что-нибудь другое?
Значок вашего диска изменится, как показано ниже. Никаких других изменений не должно быть видно или замечено после того, как компьютер зашифрован с помощью Bitlocker.
Читайте также: